إنشاء تقارير أذونات NTFS وقوائم التحكم بالوصول (ACL) في نظام التشغيل Windows

موندوبايت » تكنولوجيا المعلومات » الأمن الإلكتروني » كيفية إنشاء تقارير أذونات NTFS وقوائم التحكم بالوصول (ACL) في نظام التشغيل ويندوز

بوويرشيل يسمح بتصدير الأذونات NTFS إلى ملف CSV أو نص لتحليله في برنامج Excel، على الرغم من وجود قيود في البيئات الكبيرة.
تُسهّل الأدوات المتخصصة المجانية والمدفوعة إعداد التقارير المرئية، والحصول على الأذونات الفعّالة، وتتبع التغييرات.
يُعد فهم NTFS و ACL و ACE والوراثة وترتيب التقييم أمرًا أساسيًا لتفسير أي تقرير بشكل صحيح.
يُوفر الجمع بين البرامج النصية، ومراجعة الأحداث، وأفضل الممارسات تحكمًا قويًا في الوصول إلى البيانات في ويندوز.

تقارير أذونات نظام الملفات NTFS وقوائم التحكم بالوصول

قد يصبح تحديد من يمكنه الوصول إلى أي مجلد على خادم ملفات ويندوز مشكلة حقيقية. عندما أذونات NTFS وقوائم التحكم بالوصول تخرج الأمور عن السيطرة، وتظهر مشاكل أمنية، وتصبح عمليات التدقيق لا تنتهي، ويتمتع المستخدمون بصلاحيات أكثر مما ينبغي.

لحسن الحظ، لدينا اليوم مزيج جيد من برامج PowerShell النصية وأدوات إعداد التقارير أدوات (مجانية ومدفوعة) تُمكّنك من إنشاء تقارير واضحة بصيغ HTML أو CSV أو XLSX مع جميع الصلاحيات المطبقة على الملفات والمجلدات. في هذا الدليل، ستتعرف بالتفصيل على كيفية القيام بذلك باستخدام الحلول الأصلية والبرامج المتخصصة، بالإضافة إلى مراجعة شاملة للمفاهيم الأساسية لنظام الملفات NTFS، وقوائم التحكم بالوصول (ACLs)، والتوريث، والحسابات الخاصة، وأفضل الممارسات.

المادة ذات الصلة:

كيفية استخدام icacls و takeown لاستكشاف مشكلات الأذونات وإصلاحها في Windows

التدقيق الأصلي باستخدام PowerShell: تصدير أذونات NTFS إلى ملف CSV

يتضمن نظام التشغيل ويندوز كل ما هو ضروري لـ تدقيق أذونات نظام الملفات NTFS دون تثبيت أي شيء علاوة على ذلك، مع وجود بعض القيود. يتضمن النهج التقليدي استخدام PowerShell لاستعراض بنية المجلدات، وقراءة قوائم التحكم بالوصول (ACLs) باستخدام الحصول على ACL وإرسال المعلومات إلى ملف CSV والذي سيتم فتحه بعد ذلك في برنامج Excel لتحليله باستخدام عوامل التصفية والجداول المحورية.

ومن الأمثلة النموذجية على ذلك ما يلي: سيناريو الذي يحدد ملف إخراج CSV، وعنوان يتضمن الأعمدة الرئيسية ومسارًا رئيسيًا للمراجعة (على سبيل المثال، \\FileServer\shareثم، يقوم بفحص جميع المجلدات الفرعية باستخدام الحصول على العنصر الفرعي - التكراريتحقق من أن كل عنصر عبارة عن حاوية (مجلد) ويحصل على قائمة الوصول الخاصة بكل منها:

– مسار المجلد، أو الحساب، أو المجموعة (مرجع الهوية)، ونوع الوصول (السماح/الرفض)، وما إذا كانت الصلاحية موروثة، وعلامات التوريث والانتشاريتم إنشاء كل سطر كسلسلة مفصولة بفواصل وإضافته إلى ملف CSV باستخدام إضافة محتوى.

بمجرد اكتمال المسح، ما عليك سوى فتح ملف CSV في مايكروسوفت إكسلقم بتطبيق عوامل التصفية على أعمدة مثل مرجع الهوية o موروثولديك بالفعل تقرير أولي كامل إلى حد ما عن أذونات نظام الملفات NTFS، جاهز للتصفية حسب المستخدمين أو المجموعات أو مسارات محددة.

ومن الخيارات الشائعة الأخرى إرسال النتيجة إلى خارج GridViewيتيح ذلك عرضًا تفاعليًا قابلًا للتصفية في الوقت الفعلي، وهو أمر مفيد للغاية عندما تريد الفحص دون إنشاء ملفات وسيطة، على الرغم من أنه يفضل عادةً استخدام ملفات CSV للتدقيق الرسمي.

قيود التدقيق الأصلي باستخدام PowerShell

على الرغم من أن PowerShell يتمتع بقوة ومرونة عاليتين، إلا أنه يحتوي على العديد من الميزات. القيود العملية لعمليات التدقيق الكبيرةالفرق الأبرز هو الأداء: عند الاستخدام -يعيد تنفيذ في الأشجار العميقة جدًا التي تحتوي على مئات الآلاف من المجلدات، يمكن أن يستغرق التنفيذ وقتًا طويلاً ويستهلك الذاكرة بشكل كبير.

بالإضافة إلى ذلك، فإن البرامج النصية الأساسية مع الحصول على ACL غالباً ما تكون هذه الحلول غير كافية في السيناريوهات الأكثر تعقيداً، على سبيل المثال عندما تحتاج إلى تصاريح فعالة حقيقية مع الأخذ في الاعتبار عضويات المجموعات المتداخلة، وعمليات الرفض الموروثة، ومعرفات الأمان الخاصة، أو التعارضات بين عناصر التحكم في الوصول المتعددة، فإن كل هذا ينطوي على تطوير منطق إضافي أو الاعتماد على وحدات خارجية، مما يعقد عملية الصيانة.

ومن الشائع أيضاً في النصوص الأولية لا يوجد تمييز واضح بين الأذونات الموروثة والأذونات الصريحة ما وراء المجال البسيط موروثكما أنها لا تُظهر المصدر الدقيق للإرث. في عمليات التدقيق المتعلقة بالامتثال (مثل PCI DSS وSOX وHIPAA وغيرها)، غالبًا ما تكون هذه الإمكانية مطلوبة، وإعادة إنشائها يدويًا في برنامج Excel قد تكون عملية شاقة للغاية.

وأخيرًا، على الرغم من أنه يمكنك جدولة مهمة باستخدام مُجدول المهام واستخدام إرسال رسالة بريدية أو ما شابه ذلك، أتمتة قوية للتقارير الدورية (مع قوالب مختلفة، ومستلمين، وفلاتر حسب وحدة العمل، وما إلى ذلك) يتطلب الكثير من العمل الإضافي إذا تم استخدام البرمجة النصية الأصلية فقط.

مدقق Netwrix لخوادم ملفات Windows

بالنسبة لأولئك الذين يحتاجون إلى تجاوز البرمجة اليدوية، فإن أحد الخيارات الأكثر شيوعًا هو مدقق Netwrix لخوادم ملفات Windowsيوفر هذا المنتج وحدة إعداد تقارير خاصة بخادم الملفات مع تقارير محددة مسبقًا وفلاتر متقدمة.

إنّ الطريقة المعتادة للحصول على تقرير أذونات نظام الملفات NTFS باستخدام Netwrix بسيطة للغاية: افتح وحدة التحكم، وانتقل إلى القسم التقارير > خوادم الملفات > الحالة الوقت ثم تقوم بتحديد التقرير أذونات المجلدفي المرشح مسار UNC للكائن يتم تحديد مسار المورد المشترك (على سبيل المثال \\MyServer\MyShare) ويتم تنفيذ الاستعلام.

يُظهر التقرير الناتج لكل مجلد ما يلي: الصلاحيات الفعالة لكل مستخدم أو مجموعةمع تحديد ما إذا تم تعيينها مباشرةً أو من خلال مجموعة، وما إذا كانت موروثة. ومن ثم يمكنك التصدير إلى لغة البرمجة، PDF أو إكسلأو تحديد موعد الاشتراك عبر البريد الإلكتروني لتلقيها بالتردد المطلوب (يوميًا، أسبوعيًا، شهريًا، إلخ).

MSDN (شبكة مطوري Microsoft): ما هي، وما الغرض منها، وكيف يمكن للمطورين استخدامها.

إحدى المزايا الواضحة مقارنةً بـ PowerShell هي أن يدمج Netwrix بالفعل تحليل عضوية المجموعة وحساب الصلاحيات الفعّالة، مما يُغني عن الحاجة إلى بناء هذه المنطق يدويًا. علاوة على ذلك، صُمم محركه للبيئات الكبيرة، لذا تكون عمليات المسح أسرع وأسهل إدارةً في البنى التحتية التي تضم خوادم ملفات متعددة.

نصوص PowerShell عملية لتقارير NTFS

إذا كنت تفضل البقاء في بلدك ولكنك ترغب في الذهاب إلى أبعد من ذلك، فمن الأفكار الجيدة جدًا أن تستعد نصوص PowerShell البرمجية الخاصة بأنواع مختلفة من التدقيقاستناداً إلى المحتوى المقدم، يتم عرض ثلاثة أمثلة مفيدة للغاية تغطي احتياجات مختلفة دون الحاجة إلى أدوات خارجية.

1. نص برمجي للتحقق من مستخدم معين في المستوى الأول

تم تصميم النص الأول للإجابة على سؤال شائع جداً: "ما هي المجلدات الرئيسية التي يتمتع هذا المستخدم بإمكانية الوصول المباشر إليها؟"يُعد هذا مثاليًا عندما يطلب مدقق حسابات أو رئيس قسم مراجعة سريعة لما يمكنهم رؤيته وتعديل حساب معين.

يُعرّف البرنامج النصي متغيرات لـ المسار الأساسي (على سبيل المثال P:\)، و المستخدم المستهدف (مثل DOMINIO\d.perezوملف الإخراج. ثم يسترجع المجلدات الموجودة على المستوى المباشر فقط باستخدام Get-ChildItem -Path $Path -Force التصفية حسب PSIsContainerلكل مجلد، استرجع قائمة التحكم بالوصول (ACL) باستخدام الحصول على ACL واستكشف مداخل الوصول إليها ($acl.Access).

في كل فحص ACE، تحقق مما إذا يتطابق مرجع الهوية مع المستخدمفي هذه الحالة، يتم حفظ معلومات مثل اسم المجلد، والصلاحيات (FileSystemRights)، ونوع الوصول (السماح/الرفض)، وما إذا كانت صلاحية موروثة. يتم حفظ كل شيء في مجموعة، ثم يتم تصديره لاحقًا إلى ملف نصي أو ملف CSV. ملف خارجي.

عند عدم العثور على تطابق، يسجل البرنامج رسالة كهذه: "لم يتم العثور على أي أذونات للمستخدم X ضمن المسار Y"هذا يمنع التقارير الفارغة ويجعل نتيجة التدقيق واضحة.

هذا الأسلوب مثالي لعمليات التدقيق لمرة واحدة، للكشف عن الأذونات المباشرة غير المرغوب فيها على المجلدات الجذرية أو للتحقق بسرعة من الحاويات ذات المستوى الأعلى التي يمكن لحساب مهم الوصول إليها.

2. نص جرد لجميع المستخدمين في المستوى الأول

أما النص البرمجي الثاني فيتبنى نهجًا أكثر شمولية: فبدلاً من التركيز على حساب واحد، يقوم بإنشاء جرد كامل لجميع وحدات ACE في كل مجلد من المستوى الأول على سبيل المثال، ضمن مسار UNC \\recursocompartido\Administración\.

مرة أخرى، يتم استرجاع المجلدات الموجودة مباشرةً ضمن المسار المحدد فقط، دون تكرار. لكل مجلد، يتم استرجاع قائمة التحكم بالوصول (ACL) ويتم إنشاء كتلة نصية تبدأ بشيء مثل "ملف: "، متبوعًا بسطر واحد لكل إدخال وصول مع المستخدم أو المجموعة، والحقوق المعينة، ونوع الإذن، وما إذا كان موروثًا.

والنتيجة هي تقرير خفيف الوزن وسريع الإعداد يوفر منظر بانورامي لمستوى الجذر يُقدّم هذا شرحًا للمورد المشترك دون الخوض في تفاصيل جميع المجلدات الفرعية. يُعدّ هذا مفيدًا جدًا قبل عملية النقل، للتحقق من أن البنية الأساسية نظيفة ومنظمة بشكل جيد.

على الرغم من أن النص الأصلي تضمن بعض الرموز التعبيرية لجعل الناتج أكثر وضوحًا، إلا أن النهج الأكثر عملية في بيئات الإنتاج هو عادةً حافظ على تنسيق نص بسيطوخاصة إذا كان سيتم استيرادها بعد ذلك إلى برنامج Excel أو أدوات التحليل.

3. نص تدقيق شامل ومتكرر

يرفع السيناريو الثالث مستوى التحدي ويتولى زمام الأمور في تنفيذ... تدقيق متكرر لجميع المجلدات ضمن مسار مشترك، باستثناء الملفات. أي أنه لا يتحقق من المستوى الأول فقط، بل يتحقق أيضًا من شجرة المجلدات الفرعية بأكملها باستخدام الحصول على العنصر الفرعي - التكرار.

لكل مجلد تم العثور عليه، يتم الحصول على قائمة التحكم بالوصول (ACL) ويتم استعراض المجموعة. .Access كما هو الحال في البرامج النصية السابقة، يتم تصدير الهوية والحقوق ونوع الوصول والوراثة. تُجمع النتائج في ملف إخراج (txt أو CSV) قد يكون حجمه كبيرًا جدًا في الأنظمة الكبيرة، ولكنه يوفر نظرة شاملة لأمن الموارد.

هذا النوع من التقارير هو الذي يُطلب عادةً في عمليات تدقيق الامتثال الرسمية أو عندما تريد إجراء تنظيف عميق للأذونات، وتحديد الوصول الزائد وتحديد المجموعات ذات الامتيازات المفرطة.

في هذه الحالات يُنصح بشدة قم بتشغيل البرنامج النصي من PowerShell "كمسؤول"، خلال ساعات خارج أوقات الذروة، وإذا أمكن من خادم يتمتع باتصال جيد بـ تخزين مكان وجود المجلدات، لتقليل أوقات التنفيذ.

نظام التشغيل Windows 10: الإصلاح: ملفات النظام التالفة

أدوات مجانية لإعداد التقارير وإدارة الصلاحيات في نظام الملفات NTFS

إذا كنت لا ترغب في التعامل مع النصوص أو تريد شيئًا أكثر سهولة في الاستخدام وأكثر جاذبية لمشاركته مع المدققين وأصحاب الأعمال، فهناك العديد من الخيارات. خدمات مجانية تلك التي تركز على تقارير أذونات نظام الملفات NTFS مثيرة للاهتمام للغاية.

برنامج NTFS Permissions Reporter Free Edition (Cjwdev)

تُنشئ هذه الأداة تقارير عن أذونات الملفات والمجلدات والتي يمكن تصديرها بسهولة إلى HTML. تتيح لك الاختيار بين عرض شجري أو جدولي، وتمييز الأذونات بألوان مختلفة لتحديد من لديه أي نوع من الوصول بسرعة.

واحدة من مزاياه هو ذلك يُظهر التقرير نفسه أعضاء المجموعات.بما في ذلك المجموعات المتداخلة، مما يسهل عرض الأذونات الفعالة دون الحاجة إلى الذهاب إلى Active Directory للتحقق من كل مجموعة. ومع ذلك، فإن الإصدار المجاني موجه نحو التقارير حسب المجلد ولا يسمح بإنشاء تقرير يركز على مستخدم معين.

قد تبدو واجهة المستخدم مزدحمة بعض الشيء في البداية، لكثرة خيارات التخصيص المتاحة، ولكن بمجرد التعود عليها، ستجدها أداة سهلة الاستخدام. مع ذلك، فإن عملية فحص الأذونات... قد يستغرق الأمر بعض الوقت في بيئات تحتوي على العديد من المجلدات ومسارات بعيدة بطيئة.

أداة Netwrix الفعالة لإعداد تقارير الأذونات

تركز هذه الأداة المجانية من Netwrix على عرض، لمستخدم أو مجموعة محددة، صلاحيات فعالة لـ Active Directory ومشاركة الملفات في تقرير واحد. كما يشير إلى ما إذا كانت الأذونات قد تم تعيينها بشكل صريح أو عن طريق التوريث، مما يساعد على التخلص من الوصول الزائد.

استخدامه سهل للغاية: ما عليك سوى إدخال اسم المستخدم أو المجموعة وتقوم الأداة بحساب صلاحياتهم الموحدة. ويمكن تصدير النتيجة إلى HTML ببضع نقرات. أما عيبها الرئيسي فهو أن لا يعرض تفاصيل الأذونات لكل مجلدلذلك، يشير ذلك إلى المنتج المدفوع Netwrix Auditor for File Servers.

AccessEnum (Sysinternals، Microsoft)

المشكلة هي أن لا تتوفر خاصية التصدير إلا بصيغة .txt.يُعدّ تصميم البرنامج غير عملي عند تصديره إلى برنامج Excel. للحصول عليه كملف بصيغة .xls أو .xlsx، ستحتاج عادةً إلى نسخ ولصق الملفات يدويًا، أو معالجتها باستخدام برامج نصية.

برنامج الإبلاغ عن الصلاحيات (برنامج المقاييس الرئيسية)

يُقدّم برنامج Permissions Reporter تجربة مشابهة لبرنامج Cjwdev's NTFS Permissions Reporter، ولكن مع واجهة أكثر حداثة وجاذبية بصريةيتيح لك إنشاء التقارير وتنزيلها بسهولة، مع عرض شجري وتصديرها إلى تنسيقات مختلفة.

تتمثل أبرز عيوب النسخة المجانية في ما يلي: قد تكون عمليات المسح بطيئة بعض الشيء. في هياكل ضخمة للغاية، وهذا لا ينتج عنه سوى تقارير تركز على المجلدات أو الملفاتليس مخصصاً لمستخدمين محددين. ومع ذلك، فهو بديل جيد إذا كنت تبحث عن شيء سهل الاستخدام.

محلل الأذونات (سولار ويندز)

يُعد محلل الأذونات في SolarWinds مفيدًا للغاية عندما تريد لفهم صلاحيات مستخدم معين بالتفصيليوضح هذا كيفية توريث الصلاحيات والمجموعات المعنية. كما يتيح لك استعراض الصلاحيات حسب المستخدم أو المجموعة، وتحديد مصدر كل عملية وصول.

العيب الكبير هو أن لا يسمح بتصدير النتائج.صُمم هذا البرنامج ليكون أداة استعلام تفاعلية أكثر منه أداة لإنشاء التقارير الرسمية. وإذا كنت بحاجة إلى معرفة سبب حصول مستخدم ما على صلاحية الوصول إلى مجلد ما بسرعة، فسيكون مفيدًا للغاية.

أدوات أذونات نظام الملفات NTFS (MajorGeeks.com)

هذه المجموعة من الأدوات موجهة بشكل أكبر نحو إدارة جماعية للأذونات أكثر من مجرد إعداد التقارير. فهو يسمح بإجراء تغييرات مجمعة على قوائم التحكم بالوصول (ACLs) وإعدادات الأمان عبر العديد من الملفات والمجلدات، مما يوفر الوقت مقارنةً بوحدة تحكم واجهة المستخدم الرسومية القياسية لنظام التشغيل Windows.

ميزتها الرئيسية هي أنها يقلل من الوقت اللازم يُعدّ هذا الخيار أكثر فائدةً لتعديل هياكل الأذونات الكبيرة من علامة تبويب أمان ويندوز. وهو ليس أداةً لإعداد التقارير بقدر ما هو أداة لإدارة نظام الملفات NTFS بسرعة.

استخدام PowerShell كـ "ميزة إضافية" للتقارير المخصصة

إلى جانب النصوص المذكورة سابقاً، يمكنك دائماً اللجوء إلى باور شيل كأداة سويسرية متعددة الاستخدامات لتصدير أذونات المجلدات والمستخدمين بتنسيق CSV، وإنشاء تقارير مخصصة لبيئتك، وحتى دمجها مع أدوات مراقبة أخرى أو قواعد البيانات.

باستخدام أمثلة التعليمات البرمجية التي نشرتها مايكروسوفت والمجتمع، من الممكن إنشاء برامج نصية تصدير الأذونات حسب المسار، حسب المستخدم، حسب المجموعة أو من خلال مزيج من كل ذلك، بما في ذلك الميراث، ومعرفات الأمان، والأذونات الخاصة، وأي عمود آخر ذي صلة.

المفاهيم الأساسية: نظام الملفات NTFS، وقوائم التحكم بالوصول (ACL)، ووحدات التحكم بالوصول (ACE)، والوراثة، ومحددات الأمان

للاستفادة الحقيقية من تقارير أذونات نظام الملفات الوطني (NTFS)، من الضروري أن يكون لديك فهم واضح لـ المصطلحات الأمنية الأساسية في نظام التشغيل ويندوزبدون هذه المفاهيم، يمكن أن يصبح تفسير تقرير معقد فوضوياً.

كيفية عرض سجل الإشعارات على Android

نظام الملفات NTFS (التكنولوجيا الجديدة نظام الملفات) وهو المسؤول عن منح الصلاحيات المتقدمة على الملفات والمجلدات. كل عنصر آمن (ملف، مجلد، مفتاح تسجيل، عملية، إلخ) له واحد. واصف الأمان (SD)والذي يتضمن معرف الأمان الخاص بالمالك، ومجموعته الأساسية، وقائمتين: DACL (قائمة التحكم في الوصول التقديري) و SACL (قائمة التحكم في الوصول إلى النظام).

ل قائمة التحكم في الوصول (ACL) هي في الأساس قائمة بـ مداخل التحكم في الوصول (ACE)يشير كل عنصر تحكم في الوصول (ACE) إلى الأذونات الممنوحة لمعرف أمان (SID) محدد (مستخدم أو مجموعة). مسموح به أو مرفوض...وما ينطبق عليها (على الكائن فقط، أو على عناصره الفرعية، أو على كليهما). وهناك ثلاثة أنواع رئيسية: عناصر التحكم في الوصول المسموح بها، وعناصر التحكم في الوصول المرفوضة، وعناصر التحكم في الوصول الخاصة بالتدقيق.

La DACL هو ما يتحكم في من يمكنه الوصول إلى مورد ما ومن لا يمكنه ذلك: إذا لم يكن للكائن قائمة تحكم بالوصول (DACL)، فسيتم السماح بالوصول للجميع (سلوك خطير)، بينما تعني قائمة التحكم بالوصول الفارغة أن لا أحد لديه إمكانية الوصول. ال SACL يتم استخدامه لتحديد محاولات الوصول التي يجب تسجيلها في سجل الأمان (على سبيل المثال، عمليات القراءة الفاشلة لملف حساس).

آلية تراث يؤدي هذا إلى نقل قوائم التحكم بالوصول (ACLs) المُعرّفة في عنصر حاوية (المجلد الأصل) إلى عناصره الفرعية. عند إنشاء عنصر تحكم بالوصول (ACE)، يمكن تحديد علامات لتحديد ما إذا كان ينطبق على العنصر، أو على عناصره الفرعية فقط، أو على كليهما. يتيح ذلك تصميم هياكل يتم فيها تمرير الأذونات تلقائيًا، مما يوفر الكثير من الإدارة اليدوية.

مكان تخزين أذونات نظام الملفات NTFS وكيفية إدارتها

يتم تخزين أذونات نظام الملفات NTFS في جدول الملفات الرئيسية (MFT) من وحدة تخزين NTFS. يعمل هذا الجدول كنوع من قاعدة البيانات الداخلية حيث يتم تخزين البيانات الوصفية لكل ملف ومجلد، بما في ذلك واصف الأمان الخاص به (وبالتالي قائمة التحكم بالوصول التقديرية وقائمة التحكم بالوصول المرتبطة به).

عند تعيينك أذونات الوصول إلى ملف أو دليل من خلال علامة التبويب أمن على نظام التشغيل ويندوز، أو عبر الأوامر كما com.icaclsما يتم تعديله فعليًا هو واصف أمان الكائن في جدول الملفات الرئيسي (MFT). يستخدم نظام التشغيل هذه البيانات لـ السماح بالوصول أو رفضه في وقت التشغيل.

من خلال الواجهة الرسومية، تتمثل الطريقة القياسية لإدارة الأذونات في النقر بزر الماوس الأيمن على الملف أو المجلد، ثم الانتقال إلى الخصائص > الأمانوهناك إضافة أو إزالة المستخدمين والمجموعات، وتعيين أذونات مثل التحكم الكامل، والتعديل، والقراءة والتنفيذ، والقراءة أو الكتابة.

في الأنظمة القديمة، أو عند استخدام المشاركة البسيطة، قد لا تظهر علامة التبويب "الأمان" حتى تقوم بتعطيلها "مشاركة الملفات البسيطة" في خيارات المجلد. في بيئات النطاقات الحديثة، تتوفر هذه العلامة التبويب افتراضيًا وهي البوابة الرئيسية لإدارة معظم الأذونات.

الأوامر المتقدمة: TAKEOWN و ICACLS

في الحالات التي تتطلب ذلك الاستحواذ على كميات هائلة من الملفات أو لإعادة تعيين الأذونات بشكل جماعي، يوفر موجه أوامر ويندوز الأوامر التالية: takeown e icaclsمفيد للغاية عندما تكون واجهة المستخدم الرسومية غير كافية أو بطيئة للغاية.

على سبيل المثال، يتمثل النمط الشائع في تنفيذ شيء مثل takeown /F "%SYSTEMDRIVE%\*" /R /D Sوهذا يشير إلى أن المستخدم الحالي سيصبح المالك التكراري لجميع الملفات والمجلدات من قرص النظام. المُعدِّل /R يطبق العملية على الدلائل الفرعية، و /D S فرض إجابات إيجابية في المطالبات التفاعلية.

ثم يمكن استخدامه icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T لمنحها للمسؤولين تصاريح محددة مثل الحذف (D) أو كتابة قائمة التحكم بالوصول التقديرية (WDAC) عبر القرص بأكمله، باستخدام /T لتطبيق العملية على جميع عناصر الشجرة.

القيادة com.icacls يتيح لك تحديد أذونات موجزة (مثل F للتحكم الكامل، وM للتعديل، وRX للقراءة والتنفيذ) أو أذونات أكثر تفصيلاً (الحذف، وقراءة السمات، وكتابة المالك، وما إلى ذلك)، بالإضافة إلى أوضاع التوريث المختلفة:

OI (Object Inherit): التوريث إلى الملفات.
CI (Container Inherit): التوريث إلى المجلدات الفرعية.
IO (وراثة فقط): ينطبق عنصر التحكم في الوصول (ACE) على العناصر الفرعية فقط، وليس على العنصر الحالي.
NP (غير قابل للانتشار)لا يستمر انتشارها إلى ما بعد المستوى التالي.

من خلال الجمع بين هذه المعايير، يمكن بناء قواعد وراثية دقيقة للغاية وأتمتتها. تغييرات كبيرة في الصلاحيات بطريقة مضبوطة، مع اتخاذ الحيطة المنطقية دائماً بإجراء اختبارات مسبقة في بيئات المختبر.

إسحاق

كاتب شغوف بعالم البايت والتكنولوجيا بشكل عام. أحب مشاركة معرفتي من خلال الكتابة، وهذا ما سأفعله في هذه المدونة، لأعرض لك كل الأشياء الأكثر إثارة للاهتمام حول الأدوات الذكية والبرامج والأجهزة والاتجاهات التكنولوجية والمزيد. هدفي هو مساعدتك على التنقل في العالم الرقمي بطريقة بسيطة ومسلية.